Ataques avançados de phishing Homoglyph

Opções de download

  • PDF     (267.1 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (80.2 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (65.2 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:11 de setembro de 2015
ID do documento:200146

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introdução

Este documento descreve o uso de caracteres homogêneos em ataques avançados de phishing e como estar ciente deles ao usar filtros de mensagens e conteúdo no Cisco Email Security Appliance (ESA).

Ataques avançados de phishing Homoglyph

Nos ataques avançados de phishing atuais, os e-mails de phishing podem conter caracteres homogêneos.  Um homólifo é um caractere de texto com formas que são quase idênticas ou semelhantes entre si.  Pode haver URLs incorporados em e-mails de phishing que não serão bloqueados por filtros de mensagem ou conteúdo configurados no ESA.

Um exemplo de cenário pode ser o seguinte: o cliente deseja bloquear um e-mail que contém a URL de www.pɑypal.com.  Para fazer isso, é gravado um filtro de conteúdo de entrada que procurará a URL que contém www.paypal.com.  A ação deste filtro de conteúdo seria configurada para remover e notificar.

O cliente recebeu um exemplo de um e-mail contendo: www.pɑypal.com   

O filtro de conteúdo conforme configurado contém: www.paypal.com

Se você observar o URL real via DNS, perceberá que eles resolvem de forma diferente:

$ dig www.pɑypal.com

; <<>> DiG 9.8.3-P1 <<>> www.pɑypal.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 37851
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;www.p\201\145ypal.com. IN A

;; AUTHORITY SECTION:
com. 900 IN SOA a.gtld-servers.net. nstld.verisign-grs.com. 1440725118 1800 900 604800 86400

;; Query time: 35 msec
;; SERVER: 64.102.6.247#53(64.102.6.247)
;; WHEN: Thu Aug 27 21:26:00 2015
;; MSG SIZE rcvd: 106
$ dig www.paypal.com

; <<>> DiG 9.8.3-P1 <<>> www.paypal.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 51860
;; flags: qr rd ra; QUERY: 1, ANSWER: 6, AUTHORITY: 8, ADDITIONAL: 8

;; QUESTION SECTION:
;www.paypal.com. IN A

;; ANSWER SECTION:
www.paypal.com. 279 IN CNAME www.paypal.com.akadns.net.
www.paypal.com.akadns.net. 9 IN CNAME ppdirect.paypal.com.akadns.net.
ppdirect.paypal.com.akadns.net. 279 IN CNAME wlb.paypal.com.akadns.net.
wlb.paypal.com.akadns.net. 9 IN CNAME www.paypal.com.edgekey.net.
www.paypal.com.edgekey.net. 330 IN CNAME e6166.a.akamaiedge.net.
e6166.a.akamaiedge.net. 20 IN A 184.50.215.128

;; AUTHORITY SECTION:
a.akamaiedge.net. 878 IN NS n5a.akamaiedge.net.
a.akamaiedge.net. 878 IN NS n7a.akamaiedge.net.
a.akamaiedge.net. 878 IN NS n2a.akamaiedge.net.
a.akamaiedge.net. 878 IN NS n0a.akamaiedge.net.
a.akamaiedge.net. 878 IN NS n1a.akamaiedge.net.
a.akamaiedge.net. 878 IN NS n4a.akamaiedge.net.
a.akamaiedge.net. 878 IN NS n6a.akamaiedge.net.
a.akamaiedge.net. 878 IN NS n3a.akamaiedge.net.

;; ADDITIONAL SECTION:
n0a.akamaiedge.net. 383 IN A 184.27.45.145
n1a.akamaiedge.net. 3142 IN A 184.51.101.8
n2a.akamaiedge.net. 6697 IN A 88.221.81.194
n3a.akamaiedge.net. 31 IN A 88.221.81.193
n4a.akamaiedge.net. 168 IN A 72.37.164.223
n5a.akamaiedge.net. 968 IN A 184.51.101.70
n6a.akamaiedge.net. 1851 IN A 23.220.148.171
n7a.akamaiedge.net. 3323 IN A 184.51.101.73

;; Query time: 124 msec
;; SERVER: 64.102.6.247#53(64.102.6.247)
;; WHEN: Thu Aug 27 21:33:50 2015
;; MSG SIZE rcvd: 470

A primeira URL usa um homólifo da letra "a" do formato unicode.

Se você olhar atentamente, você pode ver que o primeiro "a" no paypal é realmente diferente do segundo "a".

Esteja ciente ao trabalhar com filtros de mensagens e conteúdo para bloquear URLs.  O SEC não consegue distinguir entre caracteres homogêneos e caracteres alfabéticos padrão.  Uma forma de detectar e evitar corretamente o uso de ataques de phishing homogêneos é configurar e ativar a filtragem de URL e de OF. 

O Irongeek fornece um método para testar os homoglifos e criar URLs mal-intencionados de teste: Gerador de ataque homoglyph

Introdução detalhada em ataques de phishing homoglyph, também da Irongeek: Out of Character: Use of Punycode and Homoglyph Attacks to Obfuscate URLs for Phishing

Histórico de revisões

Revisão Data de publicação Comentários
1.0
11-Sep-2015
Versão inicial
TAC Authored

Colaborado por engenheiros da Cisco

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco

Este documento se refere a estes produtos